Inicio / Content / Boletín de INCIBE-CERT del 13-01-2021

Boletín de INCIBE-CERT del 13-01-2021

Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación: 
13/01/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • EcoStruxure Power Build - Rapsody, versiones 2.1.13 y anteriores;
  • EcoStruxure™ Operator Terminal Expert 3.1 Service Pack 1A y anteriores, con Harmony HMIs:
    • Series HMIST6,
    • HMIG3U en series HMIGTU,
    • Series HMISTO.
  • Pro-face BLUE 3.1 Service Pack 1A y anteriores, con Pro-face HMIs:
    • Series ST6000,
    • SP-5B41 en series SP5000,
    • Series GP4100.
Descripción: 

Schneider Electric ha publicado tres vulnerabilidades, de severidad alta, que afecta a alguno de sus productos.

Solución: 
  • La solución para la vulnerabilidad en EcoStruxure Power Build - Rapsody, está prevista para el primer semestre de 2021, hasta ese momento el fabricante recomienda:
    • Aplicar el principio del menor privilegio para limitar el acceso a la computadora que ejecuta el software Rapsody.
    • Implementar una lista blanca de aplicaciones para bloquear la ejecución de código malicioso.
    • Instalar un antivirus en el ordenador y mantenerlo actualizado.
  • Actualizar a EcoStruxure™ Operator Terminal Expert V3.1 Service Pack 1B;
  • Actualizar a Pro-face BLUE V3.1 Service Pack 1B;
Detalle: 
  • Cuando se sube un archivo SSD malicioso y se analiza inadecuadamente, un atacante podría causar una condición de uso de la memoria previamente liberada (use-after-free) o un desbordamiento del búfer basado en la pila (stack) que resultaría en la ejecución de código remoto. Se han asignado los identificadores CVE-2021-22697 y CVE-2021-22698 para esta vulnerabilidad.
  • Una vulnerabilidad de validación de entrada inapropiada podría permitir a un atacante la ejecución de código arbitrario cuando la función Ethernet Download está habilitada en el HMI. Se ha asignado el identificador CVE-2020-28221 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos SOOIL

Fecha de publicación: 
13/01/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • Dana Diabecare RS, todas las versiones anteriores a la 3.0;
  • AnyDana-i, todas las versiones anteriores a la 3.0;
  • AnyDana-A, todas las versiones anteriores a la 3.0.
Descripción: 

Los investigadores Julian Suleder, Birk Kauer, Raphael Pavlidis y Nils Emmerich, de ERNW Research GmbH, han reportado a la Oficina Federal para la Seguridad de la Información (BSI) una vulnerabilidad de severidad alta de tipo claves deterministas y 8 vulnerabilidades de severidad media.

Solución: 
  • Actualizar:
    • Dana Diabecare RS a la versión 3.0, posterior o última disponible.
    • AnyDana-i y AnyDana-A a la versión 3.0 o posterior.
  • Adicionalmente, el fabricante recomienda que, en caso de no poder actualizar Dana RS, operar esta siempre en Airplane Mode.
Detalle: 

Un atacante, próximo físicamente y no autenticado, podría realizar un ataque de fuerza bruta a través de Bluetooth Low Energy, aprovechando las claves deterministas que utiliza el protocolo de comunicación. Se ha asignado el identificador CVE-2020-27264 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores CVE-2020-27256, CVE-2020-27258, CVE-2020-27266, CVE-2020-27268, CVE-2020-27269, CVE-2020-27270, CVE-2020-27272 y CVE-2020-27276.

Encuesta valoración